- Mitglied seit
- 11.11.2010
- Beiträge
- 204
- Punkte für Reaktionen
- 8
- Punkte
- 38
- Alter
- 65
- Website
- www.iks-info.narod2.ru
Die Experten von Kaspersky Lab untersuchten Vorfälle im Zusammenhang mit der Verbreitung des Duqu-Trojaners und erhielten eine Reihe neuer Details zum Schadprogramm selbst sowie zu den Methoden und Methoden, mit denen die Autoren Benutzer infizieren.
"Beim Vergleich der gefundenen Daten mit den Daten anderer Forscher und Antiviren-Unternehmen fanden wir übereinstimmende Gemeinsamkeiten, die eine ungefähre Chronologie der Ereignisse und das allgemeine Schema der Entwickler von Duqu aufzeigen", sagte Alexander Gostev, Chef-Antivirenexperte von Kaspersky Lab.
Im Verlauf der Untersuchung konnte festgestellt werden, dass die Verbreitung des Schadprogramms per E-Mail erfolgte. Ein an einen bestimmten Empfänger adressierter Brief wurde von einer Dokumentdatei begleitet, die einen Exploit der Sicherheitsanfälligkeit und des Installationsprogramms des Trojaners enthielt. Das erste derartige Mailing wurde im April 2011 durchgeführt.
Der vom Exploit in den Kernel des Systems geladene Treiber hat ein Kompilierungsdatum vom 31. August 2007. Dies legt nahe, dass Duqu-Autoren länger als vier Jahre an diesem Projekt arbeiten könnten. Es ist erwähnenswert, dass jeder Duqu-Angriff einzigartig war: Der Trojaner hatte ein klar definiertes Opfer, einen eindeutigen Satz von Dateien, und seine Aktivität wurde jedes Mal von verschiedenen Verwaltungsservern aus überwacht.
Nachdem das System infiziert und die Verbindung zum Server hergestellt worden war, wurde ein zusätzliches Modul heruntergeladen und installiert, um Informationen über das System zu sammeln, Screenshots zu machen, nach Dateien zu suchen, Kennwörter abzufangen und eine Reihe anderer Funktionen.
Bisher haben Experten von Kaspersky Lab mindestens 12 eindeutige Duqu-Dateigruppen identifiziert, die noch untersucht werden.
https://expert.com.ua/68283-troyanec-duq ... aboty.html
"Beim Vergleich der gefundenen Daten mit den Daten anderer Forscher und Antiviren-Unternehmen fanden wir übereinstimmende Gemeinsamkeiten, die eine ungefähre Chronologie der Ereignisse und das allgemeine Schema der Entwickler von Duqu aufzeigen", sagte Alexander Gostev, Chef-Antivirenexperte von Kaspersky Lab.
Im Verlauf der Untersuchung konnte festgestellt werden, dass die Verbreitung des Schadprogramms per E-Mail erfolgte. Ein an einen bestimmten Empfänger adressierter Brief wurde von einer Dokumentdatei begleitet, die einen Exploit der Sicherheitsanfälligkeit und des Installationsprogramms des Trojaners enthielt. Das erste derartige Mailing wurde im April 2011 durchgeführt.
Der vom Exploit in den Kernel des Systems geladene Treiber hat ein Kompilierungsdatum vom 31. August 2007. Dies legt nahe, dass Duqu-Autoren länger als vier Jahre an diesem Projekt arbeiten könnten. Es ist erwähnenswert, dass jeder Duqu-Angriff einzigartig war: Der Trojaner hatte ein klar definiertes Opfer, einen eindeutigen Satz von Dateien, und seine Aktivität wurde jedes Mal von verschiedenen Verwaltungsservern aus überwacht.
Nachdem das System infiziert und die Verbindung zum Server hergestellt worden war, wurde ein zusätzliches Modul heruntergeladen und installiert, um Informationen über das System zu sammeln, Screenshots zu machen, nach Dateien zu suchen, Kennwörter abzufangen und eine Reihe anderer Funktionen.
Bisher haben Experten von Kaspersky Lab mindestens 12 eindeutige Duqu-Dateigruppen identifiziert, die noch untersucht werden.
https://expert.com.ua/68283-troyanec-duq ... aboty.html
Original message
Эксперты «Лаборатории Касперского» провели расследование инцидентов, связанных с распространением троянца Duqu, и получили ряд новых подробностей как о самой вредоносной программе, так и о методах и способах, используемых ее авторами для заражения пользователей.
«Сопоставляя обнаруженные нами данные с данными, полученными другими исследователями и антивирусными компаниями, мы выявили совпадающие общие черты, которые раскрывают приблизительную хронологию событий и общую схему, по которой действовали создатели Duqu», – говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».
В ходе проведенного расследования удалось выяснить, что распространение вредоносной программы происходило через электронную почту. К письму, адресованному конкретному получателю, прилагался doc-файл, содержащий эксплойт уязвимости и инсталлятор троянца. Первая подобная рассылка была проведена еще в апреле 2011 года.
Драйвер, загружаемый эксплойтом в ядро системы, имеет дату компиляции 31 августа 2007. Это говорит о том, что авторы Duqu могли работать над этим проектом более четырех лет. Стоит отметить, что каждая атака Duqu была уникальной: троянец имел четко определенную жертву, уникальный набор файлов, а контроль за его деятельностью каждый раз осуществлялся с разных серверов управления.
После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля, предназначенного для сбора информации о системе, снятия скриншотов, поиска файлов, перехвата паролей и рядом других функций.
На сегодняшний день эксперты «Лаборатории Касперского» выявили как минимум 12 уникальных наборов файлов Duqu, исследование которых до сих пор продолжается.
https://expert.com.ua/68283-troyanec-duq ... aboty.html
«Сопоставляя обнаруженные нами данные с данными, полученными другими исследователями и антивирусными компаниями, мы выявили совпадающие общие черты, которые раскрывают приблизительную хронологию событий и общую схему, по которой действовали создатели Duqu», – говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».
В ходе проведенного расследования удалось выяснить, что распространение вредоносной программы происходило через электронную почту. К письму, адресованному конкретному получателю, прилагался doc-файл, содержащий эксплойт уязвимости и инсталлятор троянца. Первая подобная рассылка была проведена еще в апреле 2011 года.
Драйвер, загружаемый эксплойтом в ядро системы, имеет дату компиляции 31 августа 2007. Это говорит о том, что авторы Duqu могли работать над этим проектом более четырех лет. Стоит отметить, что каждая атака Duqu была уникальной: троянец имел четко определенную жертву, уникальный набор файлов, а контроль за его деятельностью каждый раз осуществлялся с разных серверов управления.
После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля, предназначенного для сбора информации о системе, снятия скриншотов, поиска файлов, перехвата паролей и рядом других функций.
На сегодняшний день эксперты «Лаборатории Касперского» выявили как минимум 12 уникальных наборов файлов Duqu, исследование которых до сих пор продолжается.
https://expert.com.ua/68283-troyanec-duq ... aboty.html
